Negar acesso este computador pela rede
Descreve as melhores práticas, localização, valores, gerenciamento de política e considerações de segurança da configuração de política de segurança Negar acesso este computador pela rede.
Referência
Esta configuração de segurança determina quais usuários são impedidos de acessar um dispositivo pela rede.
Constante: SeDenyNetworkLogonRight
Valores possíveis
Lista de contas definida pelo usuário
Convidado
Práticas recomendadas
- Como todos os programas de Serviços de Domínio do Active Directory usam um logon de rede para o acesso, tenha cuidado ao atribuir esse direito de usuário em controladores de domínio.
Local
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário
Valores padrão
Por padrão, essa configuração é Convidado em controladores de domínio e em servidores autônomos.
A tabela a seguir lista os valores padrão reais e efetivos da política. Os valores padrão também estão listados na página de propriedades da política.
| Tipo de servidor ou GPO | Valor padrão |
|---|---|
Política de Domínio Padrão |
Não definido |
Política de Controlador de Domínio Padrão |
Convidado |
Configurações Padrão de Servidor Autônomo |
Convidado |
Configurações padrão efetivas de controlador de domínio |
Convidado |
Configurações Padrão Efetivas do Servidor Membro |
Convidado |
Configurações Padrão Efetivas do Computador Cliente |
Convidado |
Gerenciamento de políticas
Esta seção descreve recursos e ferramentas disponíveis que ajudam você a gerenciar essa política.
Não é necessário reiniciar o dispositivo para que essa configuração de política entre em vigor.
Essa configuração de política substitui a configuração de política Acessar este computador pela rede se uma conta de usuário estiver sujeita às duas políticas.
Qualquer alteração na atribuição de direitos de usuário de uma conta entrará em vigor na próxima vez que o proprietário da conta fizer logon.
Política de Grupo
As configurações serão aplicadas na seguinte ordem por meio de um GPO (Objeto de Política de Grupo), o que substituirá as configurações no computador local na próxima atualização da Política de Grupo:
Configurações de política local
Configurações de política de site
Configurações de política de domínio
Configurações de política de UO
Quando uma configuração local está esmaecida, isso indica que um GPO controla essa configuração no momento.
Considerações sobre a segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação de contramedidas.
Vulnerabilidade
Os usuários que podem fazer logon no dispositivo pela rede podem enumerar listas de nomes de contas, nomes de grupos e recursos compartilhados. Os usuários com permissão para acessar arquivos e pastas compartilhadas podem se conectar pela rede e, possivelmente, exibir ou modificar dados.
Contramedida
Atribuir o direito de usuário Negar acesso a este computador pela rede para as contas a seguir:
Logon anônimo
Conta interna de Administrador local
Conta Convidado local
Todas as contas de serviço
Uma exceção importante a essa lista é qualquer conta de serviço que seja usada para iniciar os serviços que devem se conectar ao dispositivo pela rede. Por exemplo, digamos que você tenha configurado uma pasta compartilhada para o acesso de servidores Web e apresente conteúdo dentro dessa pasta por meio de um site. Talvez seja necessário permitir que a conta que executa o IIS faça logon no servidor com a pasta compartilhada da rede. Esse direito de usuário é especialmente eficiente quando você deve configurar servidores e estações de trabalho em que as informações confidenciais sejam manipuladas devido a questões de conformidade regulatória.
Impacto em potencial
Se você configurar o direito de usuário Negar acesso a este computador pela rede para outras contas, poderá limitar as capacidades dos usuários atribuídos a funções administrativas específicas em seu ambiente. Você deve verificar se as tarefas delegadas não foram afetadas negativamente.